点击蓝字关注我们前言代码审计总要遇到命令执行或者说RCE,打CTF的过程中难免不会碰见,毕竟PHP是世界上最好的语言,总结一下命令执行函数E.g.1 <?php ...
【风险通告】开发者发布NPM node-ipc的恶意版本
0x00 风险概述本月,流行的 npm 包“node-ipc”背后的开发人员(RIAEvangelist)发布了该库的恶意版本,可删除俄罗斯和白俄罗斯用户的所有数据并覆盖开发者机器上的所有文件,追踪为...
低代码开发会带来更多安全问题吗?
低代码开发目前已被大量应用,其本身并没有什么安全或不安全一说,所有应用程序开发框架、系统、流程和策略(手动或自动)的安全性取决于企业自身。企业不应该阻止使用低代码工具,而是应引入企业级低代码开发工具,...
GitHub 热榜:一个能将文本快速转化为代码的 Python 神器!
“ 阅读本文大概需要 3 分钟。 ”如果能创建一个桌面软件,将自然语言直接转换成相关的 Python 数据分析代码,工作就方便了。这不,有俩「好事」的程序员耐不住寂寞,把这个工具做出来。近日,两个外国...
初识Shell
转自计算就该这么学一、程序 1、什么是程序程序是为实现特定目标或解决特定问题而用计算机语言编写的命令序列的集合。简单来说,电脑里面的应用都是程 序来控制的,程序天天见。程序是由序列组成的,告...
探真科技李祥乾:基于ROI逻辑寻求平衡 让业务迭代更安全
对于很多业务开发和运营人员来说,安全其实是一件比较麻烦的事情,总是要被安全部门驱动着去做漏洞修复的工作,还要为之牺牲部分迭代的数据和工作时间,因此这也招来了业务部门对安全的反感,毕竟业务的快速迭代才是...
语雀文章监测脚本设计与实现—yuqueGetter
0x01 功能介绍语雀是一个很方便的知识库整理工具,每天都会有很多小伙伴在语雀上更新自己的文章Tide安全团队Wiki知识库:https://www.yuque.com/tidesecTide安全团队...
利用Apache Cassandra用户定义函数实现远程代码执行
近日JFrog的安全研究团队披露了Apache Cassandra中的一个RCE(远程代码执行)漏洞,该漏洞被分配给了CVE-2021-44521 (CVSS 8.4)。这个Apache安全漏洞很容易...
记一次对wuzhicms的审计
文章首发于奇安信社区:https://forum.butian.net/share/1126前言在网上漫游发现的一个cms cnvd也是有提交的也是初次审计这种官网:https://www.wuzhi...
分享 | 记一次渗透实战-代码审计到getshell
文章来源:奇安信攻防社区地址:https://forum.butian.net/share/1206作者:dota_st0x0前言接到任务,需要对一些违法网站做渗透测试......0x1信息收集根据提...
盗用证书冒充驱动,NVIDIA和黑客的斗法波及普通用户了
点击蓝字关注我们 要说最近的IT业界大瓜之一,NVIDIA和南美黑客组织LAPSUS$之间的斗法可以说是一波三折非常具有戏剧性了。但随着多引擎查毒服务商total virus发现两例利用被盗的NVID...
网络安全从0到0.5之Raven2靶机实战渗透测试
Mysql-UDF提权(Raven2系列靶机) 这里搭建了vulhub上的靶机Raven2进行学习 网址:https://www.vulnhub.com/?q=raven2 信息收集 先nmap进行初...
95